Os tokens SecurID não são suportados porque o software de validação é não-livre, tanto quanto eu sei. Diverti-me muito com o yubikey gerador OTP de hardware para autenticação melhor que o nome de usuário e senha via PAM. Os yubikeys também são visivelmente mais baratos que os tokens SecurID, e não parecem ter uma vida útil limitada.
Especificamente, eu configurei o ssh usando o yubikey para autenticação, o que abre a possibilidade de usar VPNs baseadas em ssh. Meu comentário está no link se for de alguma utilidade para você. Tudo envolvido é GPL ou melhor.
Eu também vi pessoas usando etapas de autenticação baseadas em PAM com o OpenVPN, o que abre a possibilidade de fazer com que o OpenVPN funcione com o yubikey. Os caras do Securix Live dizem que estão trabalhando em um módulo PAM totalmente de dois fatores para o yubikey, e enquanto Eu ainda não consegui fazê-lo funcionar, isso te daria a parte final do que você pediu.
Se você conseguir o OpenVPN trabalhando com um yubikey, deixe-nos saber - e escreva sobre isso!